编辑推荐
据说天天与犯人打交道的狱警 , 很少会让自己的孩子从事这份工作 。 缘由是见识过太多人性的阴暗面 , 怕孩子长期耳熏目染 , 心理扭曲变形 。 。 。 。 。 。
从事安全工作的人 , 容易患上“洁癖” , 觉得到处都脏 。 小心翼翼下载一个软件 , 先要看看签名是否合法 , 没有合法签名的软件一律不安装!
看到一个网页链接 , 无论是前缀的链接 , 先要思考一下是否安全 , 有没有非法脚本 , 非法资源冒用 , 衡量再三 , 为安全计就不点了!
打开一个 。
疑神疑鬼是从事安全工作人的鲜明标签!
有一次无意中看到一篇文章 , 是关于数字证书颁发机构CA的故事 , 分享给大家 。
全球最顶尖的数字证书颁发机构就那么几家 , 里面汇聚了很多顶尖的网络安全专家 。 在他们眼里 , 保存CA私钥最最安全的措施是 , 存放私钥的电脑不联网!
存放私钥的电脑通常被锁在一个保险库 , 类似存放黄金的那种保险库 , 防火防盗防小偷 , 恒温恒湿冬暖夏凉 , 待遇非常好 。
为了进入保险库 , 需要三把钥匙 , 需要三人同时在场 。 这种三权分立的机制 , 同样是从美国三权分立制度得到的启发 , 其用意在于相互监督 , 避免作弊 。 此外 , 为了监控进入保险库人员的行为 , 还有360度无死角监控!
私钥锁在保险库 , 每次客户来求签名 , 要三人打开保险室进入操作 , 这效率也太低了!每天全球有成千上万的客户要私钥签名 , 要猴年马月才能签完啊!
得想一个两全其美的好办法!
为了最高安全记 , 老大(一级CA)的私钥被锁在保险室里 , 那再扶植几个小弟(二级CA) , 让老大用私钥帮几个小弟签名 , 证明其合法身份!
小弟们有了合法身份 , 就可以联网给全球的客户签名了 , 其签名逻辑如下所示:
二级签名逻辑
老大给小弟签名
小弟给全球客户签名
或
三级签名逻辑
老大给小弟签名
小弟给小弟的小弟签名
小弟的小弟给全球客户签名
如果全球的浏览器安装并信任了老大(一级CA)的公钥证书 , 那么自然可以解密所有老大的私钥签名 。
换句话说 , 如果用老大的公钥(已安装在浏览器里) , 可以解开一个证书的签名 , 那么这个证书一定是老大的小弟!
既然是老大的小弟 , 那么自然就要信任!
那么 , 凡是可以用小弟公钥解密的签名 , 一定是小弟亲笔签名的客户!
有读者会有疑问 , 既然小弟(二级CA)都联网了 , 意味着小弟的私钥没有和互联网物理隔离 , 安全吗?
肯定没有物理隔离那么安全 , 但是小弟私钥也有严厉的安保措施 , 比如 , 加密保存等等 。
退一万步讲 , 如果小弟的私钥不幸泄露了 , 老大会第一时间废了这个小弟 , 老大可以通过CRL(Certificate Revoke List)列表发布声明:
某某小弟行为不端 , 从即日起扫地出门!
即使小弟的私钥被第三方拿来签名 , 一样骗不过浏览器 , 因为浏览器会去老大家查询CRL公告 , 会立马知道某某小弟已经是不可信任状态!
想象一下 , 如果是老大的私钥泄露了 , 会是什么景象?
老大私钥被第三方拿来签发任意证书 , 而且都是合法的 , 都会被浏览器信任!
为了消除老大私钥泄露带来的安全隐患 , 唯一的途径是从全球所有的手机终端、电脑终端清除老大的一级(根Root)证书!
这基本上就是一个不可能完成的任务!
【有哪些网络安全的的事实,没有一定安全知识】
推荐阅读
- 影响胎儿生长发育的因素有哪些?
- 「网络安全」网络安全小知识你都了解吗?| 网络安全小课堂
- 动物世界也有“春运”?
- 这份网络安全知识!请一定查收!
- 以案说法!重铁民警这样普及网络安全知识
- 博物馆里沉睡的动物,哪些可能复活?
- 异性相吸,究竟有没有这回事?
- 哪种金鱼最名贵
- 挑选美白产品的三个要点
- 哪些水培可以和鱼共养